5EI学生を対象とした、PHPによるアプリケーションでのセキュリティネタを解説するための 実験を担当し、今日はその第1クールの1週目。 ちょうど、自分の卒研の学生でWebアプリケーション系のテーマの人がいたので、 内容的にもちょうどいい。
余計な処理をしない、セキュリティ的に穴だらけのプログラムを示し、 具体的なトラブルを発生させて、問題点を考えてもらい、 実験ではプログラムの修正を行ってもらう。
- あえてC言語で書いたCGIにて、バッファオーバフローの体験
- PHPの基礎として極めて単純な動作例を示す
- ディレクトリトラバーサルのネタ
- 入力値の単純表示処理によるフィッシングネタ
- コマンドインジェクションのネタ